2.7. Satellite Web UI での適切な組織および場所の Capsule Server への割り当て
Capsule Server パッケージのインストール後に、組織または場所が複数ある場合には、Satellite Web UI で Capsule に正しい組織と場所を割り当てて Capsule が表示されるようにする必要があります。
手順
- Satellite Web UI にログインします。
- 画面左上にある 組織 リストから、任意の組織 を選択します。
- 画面左上にある 場所 リストから、任意の場所 を選択します。
- ホスト > すべてのホスト に移動し、Capsule Server を選択します。
- アクションの選択 一覧から、組織の割り当て を選択します。
- 組織の選択 リストから、この Capsule を割り当てる組織を選択します。
- Fix Organization on Mismatch (組織の不一致についての修正) をクリックします。
- Submit をクリックします。
- Capsule Server を選択します。アクションの選択 一覧から、場所の割り当て を選択します。
- 場所 リストから、この Capsule を割り当てる場所を選択します。
- Fix Location on Mismatch (場所の不一致についての修正) をクリックします。
- 送信 をクリックします。
- 管理 > 組織 の順に移動して、Capsule を割り当てた組織をクリックします。
- Capsules タブをクリックし、Capsule Server が 選択項目 一覧に表示されていることを確認してから 送信 をクリックします。
- 管理 > 場所 の順に移動して、Capsule を割り当てた場所をクリックします。
- Capsules タブをクリックし、Capsule Server が 選択項目 一覧に表示されていることを確認してから 送信 をクリックします。
検証
必要に応じて、Capsule Server が Satellite Web UI に正しく表示されているかどうかを検証できます。
- 組織 一覧で、組織を選択します。
- 場所 リストから場所を選択します。
- ホスト > すべてのホスト に移動します。
- インフラストラクチャー > Capsules に移動します。
Red Hat Satellite は SSL 証明書を使用して、Satellite Server、外部 Capsule Server、全ホストの間の暗号化通信を有効にします。組織の要件によっては、デフォルトの証明書またはカスタムの証明書で Capsule Server を設定する必要があります。
- また、デフォルトの SSL 証明書を使用する場合には、外部 Capsule Server ごとに異なるデフォルトの SSL 証明書を設定する必要があります。詳細は、「デフォルトの SSL 証明書を使用した Capsule Server の設定」 を参照してください。
- また、カスタムの SSL 証明書を使用する場合には、外部 Capsule Server ごとに異なるカスタムの SSL 証明書を使用して設定する必要があります。詳細は、「カスタム SSL 証明書を使用した Capsule Server の設定」 を参照してください。
2.7.1. デフォルトの SSL 証明書を使用した Capsule Server の設定
本セクションを使用して、Satellite Server のデフォルトの証明局 (CA) が署名した SSL 証明書を使用して Capsule Server を設定します。
前提条件
- Capsule Server が Satellite Server に登録されている。詳細は、Satellite Server への登録 を参照してください。
- Capsule Server パッケージがインストールされている。詳細は、Capsule Server パッケージのインストール を参照してください。
手順
Satellite Server で Capsule Server の全ソース証明書ファイルを保存するには、
rootユーザーのみがアクセスできるディレクトリーを作成します (例:/root/capsule_cert)。# mkdir /root/capsule_certSatellite Server で、Capsule Server の
/root/capsule_cert/capsule.example.com -certs.tar証明書アーカイブを生成します。# capsule-certs-generate \ --foreman-proxy-fqdn capsule.example.com \ --certs-tar /root/capsule_cert/capsule.example.com-certs.tar
capsule-certs-generateコマンドが返すsatellite-installerコマンドのコピーをメモし、Capsule Server に証明書をデプロイします。capsule-certs-generateの出力例output omitted satellite-installer --scenario capsule \ --certs-tar-file "/root/capsule.example.com-certs.tar" \ --foreman-proxy-register-in-foreman "true" \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --foreman-proxy-trusted-hosts "satellite.example.com" \ --foreman-proxy-trusted-hosts "capsule.example.com" \ --foreman-proxy-oauth-consumer-key "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f" \ --foreman-proxy-oauth-consumer-secret "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY" \ --puppet-server-foreman-url "https://satellite.example.com"
Satellite Server から、証明書アーカイブファイルを Capsule Server にコピーします。
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
Capsule Server で、証明書をデプロイするには、
capsule-certs-generateコマンドにより返されたsatellite-installerコマンドを入力します。Satellite へのネットワーク接続やポートをまだ開いていない場合は、
--foreman-proxy-register-in-foremanオプションをfalseに設定すると、Capsule が Satellite へ接続を試行しなくなり、エラー報告がなくなります。ネットワークとファイアウォールを適切に設定したら、このオプションをtrueにして再度インストーラーを実行します。重要証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。このアーカイブは、Capsule Server のアップグレード時などに必要になります。
2.7.2. カスタム SSL 証明書を使用した Capsule Server の設定
Satellite Server がカスタムの SSL 証明書を使用するように設定する場合は、この設定時に、外部の各 Capsule Server も、異なるカスタム SSL 証明書で設定する必要があります。
カスタム証明書を使用して Capsule Server を設定するには、Capsule Server ごとに以下の手順を実行します。
2.7.2.1. Capsule Server のカスタム SSL 証明書の作成
Satellite Server で、Capsule Server 用にカスタムの証明書を作成します。Capsule Server 用のカスタムの SSL 証明書がすでにある場合には、以下の手順は省略してください。
カスタム証明書を使用して Capsule Server を設定する場合には、次の点を考慮してください。
- SSL 証明書には、Privacy-Enhanced Mail (PEM) エンコードを使用する必要がある。
- Satellite Server と Capsule Server の両方に、同じ証明書を使用できない。
- 同じ証明局を使用して Satellite Server と Capsule Server の証明書を署名する必要がある。
手順
ソースの証明書ファイルすべてを保存するには、
rootユーザーだけがアクセスできるディレクトリーを作成します。# mkdir /root/capsule_cert
Certificate Signing Request (CSR) を署名する秘密鍵を作成します。
秘密鍵は暗号化する必要がないことに注意してください。パスワードで保護された秘密鍵を使用する場合は、秘密鍵のパスワードを削除します。
この Capsule Server の秘密鍵がすでにある場合は、この手順を省略します。
# openssl genrsa -out
/root/capsule_cert/capsule_cert_key.pem4096証明書署名要求 (CSR) 用の
/root/capsule_cert/openssl.cnf設定ファイルを作成して、以下のコンテンツを追加します。[ req ] req_extensions = v3_req distinguished_name = req_distinguished_name x509_extensions = usr_cert prompt = no [ req_distinguished_name ] 1 C = Country Name (2 letter code) ST = State or Province Name (full name) L = Locality Name (eg, city) O = Organization Name (eg, company) OU = The division of your organization handling the certificate CN = capsule.example.com 2 [ v3_req ] basicConstraints = CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection subjectAltName = @alt_names [ usr_cert ] basicConstraints=CA:FALSE nsCertType = client, server, email keyUsage = nonRepudiation, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection nsComment = "OpenSSL Generated Certificate" subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer [ alt_names ] DNS.1 = capsule.example.com 3
- 1
[ req_distinguished_name ]セクションに、貴社の組織の情報を入力します。- 2
- 証明書のコモンネーム
CNを、Capsule Server またはワイルドカードの*の完全修飾ドメイン名 (FQDN) と一致するように設定します。FQDN を確認するには、対象の Capsule Server でhostname -fコマンドを入力します。これは、katello-certs-checkコマンドが証明書を正しく検証することを確認するために必要です。ワイルドカードの値を設定しており、katello-certs-checkコマンドを使用する場合には、-t capsuleオプションを追加する必要があります。 - 3
- サブジェクトの別名 (SAN: Subject Alternative Name)
DNS.1を、お使いのサーバーの完全修飾ドメイン名 (FQDN) に一致する用に設定します。
証明書署名要求 (CSR) を作成します。
# openssl req -new \ -key /root/capsule_cert/capsule_cert_key.pem \ 1 -config /root/capsule_cert/openssl.cnf \ 2 -out /root/capsule_cert/capsule_cert_csr.pem 3
証明局に証明書署名要求を送信します。同じ証明局を使用して Satellite Server と Capsule Server の証明書を署名する必要がある。
要求を送信する場合は、証明書の有効期限を指定してください。証明書要求を送信する方法は異なるため、推奨の方法について認証局にお問い合わせください。要求への応答で、認証局バンドルと署名済み証明書を別々のファイルで受け取ることになります。
2.7.2.2. カスタムの SSL 証明書の Capsule Server へのデプロイ
この手順を使用して、証明局が署名したカスタムの SSL 証明書で、Capsule Server を設定します。capsule-certs-generate コマンドにより返される、satellite-installer コマンドは、Capsule Server ごとに一意となっています。複数の Capsule Server に同じコマンドを使用しないでください。
前提条件
- Satellite Server は、カスタムの証明書で設定されている。詳細は、オンラインネットワークからの Satellite Server のインストールの カスタムの SSL 証明書を使用した Satellite Server の設定 を参照してください。
- Capsule Server が Satellite Server に登録されている。詳細は、Satellite Server への登録 を参照してください。
- Capsule Server パッケージがインストールされている。詳細は、Capsule Server パッケージのインストール を参照してください。
手順
Satellite Server で、カスタムの SSL 証明書の入力ファイルを検証します。
# katello-certs-check \ -t capsule -c /root/capsule_cert/capsule_cert.pem \ 1 -k /root/capsule_cert/capsule_cert_key.pem \ 2 -b /root/capsule_cert/ca_cert_bundle.pem 3
/root/capsule_cert/openssl.cnf設定ファイルの証明書のコモンネームCN =に、*のワイルドカードの値を設定した場合には、katello-certs-checkコマンドに-t capsuleオプションを追加する必要があります。このコマンドに成功すると、
capsule-certs-generateコマンド 2 つが返されます。このうちのいずれか 1 つを、Capsule Server の証明書アーカイブの生成に使用する必要があります。new-capsule.example.com 内の証明書を使用するには、次のコマンドを実行します。
capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \ --certs-tar "~/$CAPSULE-certs.tar" \ --server-cert "/root/capsule_cert/capsule_cert.pem" \ --server-key "/root/capsule_cert/capsule_cert_key.pem" \ --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \existing-capsule.example.com 内の証明書を使用するには、代わりに次のコマンドを実行します。
capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \ --certs-tar "~/$CAPSULE-certs.tar" \ --server-cert "/root/capsule_cert/capsule_cert.pem" \ --server-key "/root/capsule_cert/capsule_cert_key.pem" \ --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \ --certs-update-server要件に応じて、新規または既存の Capsule の証明書を生成する
capsule-certs-generateコマンドを Satellite Server で入力します。katello-certs-checkコマンドの出力は正確でない場合があります。したがって、コマンド出力ではなく、上記の手順に従う必要があります。このコマンドで
$CAPSULEを Capsule Server の FQDN に変更します。capsule-certs-generateコマンドが返すsatellite-installerコマンドのコピーをメモし、Capsule Server に証明書をデプロイします。capsule-certs-generateの出力例output omitted satellite-installer --scenario capsule \ --certs-tar-file "/root/capsule.example.com-certs.tar" \ --foreman-proxy-register-in-foreman "true" \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --foreman-proxy-trusted-hosts "satellite.example.com" \ --foreman-proxy-trusted-hosts "capsule.example.com" \ --foreman-proxy-oauth-consumer-key "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f" \ --foreman-proxy-oauth-consumer-secret "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY" \ --puppet-server-foreman-url "https://satellite.example.com"
Satellite Server から、証明書アーカイブファイルを Capsule Server にコピーします。
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
Capsule Server で、証明書をデプロイするには、
capsule-certs-generateコマンドにより返されたsatellite-installerコマンドを入力します。Satellite へのネットワーク接続やポートをまだ開いていない場合は、
--foreman-proxy-register-in-foremanオプションをfalseに設定すると、Capsule が Satellite へ接続を試行しなくなり、エラー報告がなくなります。ネットワークとファイアウォールを適切に設定したら、このオプションをtrueにして再度インストーラーを実行します。重要証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。このアーカイブは、Capsule Server のアップグレード時などに必要になります。
2.7.2.3. ホストへの カスタム SSL 証明書のデプロイ
Capsule Server がカスタムの SSL 証明書を使用するよう設定した後に、Capsule Server に登録されている全ホストに katello-ca-consumer パッケージもインストールする必要があります。
手順
各ホストに
katello-ca-consumerパッケージをインストールします。# yum localinstall \ http://capsule.example.com/pub/katello-ca-consumer-latest.noarch.rpm
